Sto provando la forza della password di test in uno dei nostri siti di e-commerce. Sto usando john the ripper per forzare un file di password. L'algoritmo utilizzato da PHP è:
$hash = md5($salt . $pass)
Nessuna altra trasformazione viene eseguita né nel $ sale o nel passaggio, ho controllato manualmente un esempio. Ho trovato nella documentazione che il sub-formato che accompagna l'algoritmo è dynamic_4. Il problema è che il formato di file passwd come scritto nella documentazione, non sembra funzionare, John non è in grado di caricare gli hash, questo è il formato che ho usato:
// user:$dynamic_4$hash$salt
emi:$dynamic_4$83a3f08cfb2d9d0bac5d1a1619d8b7dd$Z3MkG2FZsaoV9EDCpmSRWvgANQAeXOeN7oadrAugu0rKEvfKqoNj6D9a
Ho provato a cambiare il sale per l'hash ma ancora niente
Ho provato la seguente combinazione di parametri:
john --single passwd
john --format=dynamic_4 --single passwd
john --subformat=dynamic_4 --single passwd
john --format=md5 --single passwd
john --format=raw-md5 --single passwd